정보화의 진전에 따라 개인정보 데이터베이스의 구축이 증대되고, CCTV, 전자태그(RFID), 생체인식 등 프라이버시권을 침해할 수 있는 기술의 도입도 증가하고 있습니다. 세계 선진국들은 정보화의 진전에 맞춰 개인정보를 보호할 수 있는 법제도적 장치를 도입하고 있습니다. 하지만, 우리나라는 세계 선진국 수준의 정보화를 이루고 있음에도 불구하고, 개인정보를 보호할 수 있는 체계적인 법제도는 미약한 상황입니다.
이런 상황에서 국내에서도 체계적인 개인정보보호기본법과 개인정보 감독기구의 설립이 준비되고 있는 것은 환영할만한 일입니다. 현재 국회에는 정부·여당의 입장을 담은 이은영 의원안, 열린우리당 정성호 의원안, 그리고 민주노동당 노회찬 의원안이 상정되어 있습니다. 세 법안 모두 비슷한 ‘항목’을 포함하고 있으나, 몇 가지 중요한 쟁점 사항이 존재하고 있으며, 이는 국내 개인정보 보호 수준을 좌우할 수 있는 중요한 쟁점들입니다.
이에 우리 시민사회단체들은 개인정보보호기본법 및 개인정보 감독기구와 관련하여 다음과 같은 의견을 제출하는 바입니다. 법안 제정 과정에서 아래의 제안이 충실히 논의되고 수렴되기를 바랍니다.
1. 개인정보 감독기구는 전문성과 실효성을 담보해야 하며, 독립적이고 전문적인 감독기구가 설립되어야 합니다.
정부·여당의 법안은 개인정보 감독기구를 국가인권위원회 산하에 두도록 하고 있습니다. 그러나, 감독기구를 국가인권위원회 산하에 두는 것은 다음과 같은 이유로 적절하지 않습니다.
1) 감독기구는 기존 정부부처의 개인정보 보호업무를 통합하는 것이어야 합니다.
개인정보보호기본법을 제정하고 독립적 감독기구를 마련하고자 한 취지는 기존 정부부처들이 개인정보 보호 임무를 제대로 수행하지 못해왔다는 반성에서 비롯되었습니다. 그 근본 원인은 직접 대량으로 개인정보를 수집하거나 혹은 개인정보를 이용하는 산업들을 육성하는 것을 고유 임무로 하는 부처들이 개인정보 보호 임무도 함께 맡고 있는 구조적 모순 때문입니다. 행정자치부는 전자정부의 주무 부처이자 경찰청의 상급 부처이며, 주민등록정보를 비롯하여 중요하고도 민감한 개인정보들을 대량으로 수집하는 최대의 개인정보 수집자입니다. 더구나 한국의 전자정부는 행정정보의 공동이용이라는 명목 하에 각 부처에서 수집된 개인정보까지 공동 활용하도록 하는 것을 기본적인 토대로 삼고 있습니다. 또한 정보통신부와 금융감독원은 각각 정보통신 산업과 금융 산업의 발전을 고유의 임무로 자임하는 부서입니다. 그러다 보니, 이 부처들은 개인정보 보호를 소홀히 할 가능성이 높습니다. 이런 상황에서 정부·여당의 법안과 같이 각 부처가 소관 분야의 개인정보 보호를 위한 정책기능과 관련 조직을 유지하도록 한다면, 새로 만들어질 기본법과 감독기구는 허수아비로 전락할 가능성이 높습니다.
2) 감독기구는 독자적인 지침 작성권을 행사할 수 있어야 합니다.
정부·여당의 법안은 정책 수립 기능과 권리 구제 기능을 분리하고 있습니다. 전자의 기능은 해당 정부부처 소관으로, 후자의 기능은 인권위 소관으로 하고 있습니다. 그러나, 침해 조사나 분쟁 조정과 같은 권리 구제 기능은 사실 정책 기능과 분리하기가 어렵습니다. 실제 권리 구제 기능을 행사하다보면, 조정안 등을 통해, 사실상 구체적 기준을 제시하는 것과 다르지 않을 것입니다. 이렇게 되면 정책 기능과 권리구제 기능은 분간하기가 어렵게 됩니다. 이런 상황에서 권리구제 기능과 정책 기능이 서로 다른 기관에 의해 수행될 때, 사업자들은 서로 다른 기준이 내려옴으로써 이중 규제로 느껴질 것이며, 차후 규제 완화/일원화를 요구할 것입니다. 이 문제를 해소하기 위해서, 감독기구에 수집 및 관리에 관한 지침을 작성할 권리를 부여하는 것이 좋겠습니다.
3) 감독기구는 개인정보 관리상황의 일상적 감독 및 사전 예방을 수행할 수 있어야 합니다.
개인정보 보호법제가 잘 정비되어 있다고 하더라도 개인정보 수집자의 일상적인 관리 실태를 파악할 수 없다면 개인정보 보호를 실효성있게 할 수 없습니다. 또한, 개인정보 침해 문제는 그 특성상 사후에 완전하게 피해 복구를 하기 힘들기 때문에 사전에 예방을 하는 것이 무엇보다 중요합니다. 따라서, 개인정보 데이터베이스의 등록, 개인정보 데이터베이스의 결합 제한, 개인정보보호책임자를 통한 감사 및 보고 등 일상적인 감독과 사전 예방을 위한 권한이 주어져야 합니다. 하지만, 정부·여당의 법안의 경우, 개인정보 침해신고 및 분쟁 조정 등 사후적 조치만을 다루고 있을 뿐, 감독기구가 사전에 침해를 예방할 수 있는 권한이 거의 주어져있지 않습니다. 제20조 개인정보보호책임자에 대해서도 자율적인 감사와 보고 등 구체적인 역할과 의무가 명시되어 있지 않아 실효성을 갖기 힘듭니다.
4) 지금까지 국가인권위원회의 권고는 실효성을 갖지 못했습니다.
사실 정부부처들은 국가인권위원회의 목소리를 철저히 외면해왔습니다. 교육부는 NEIS에 대한 국가인권위원회의 권고를 수용하지 않았습니다. CCTV 운영에 관한 법률을 마련하라는 국가인권위원회의 권고 역시 전혀 이행되지 않은 상태에서 강남구청과 강남경찰서는 CCTV 관제센터를 설치하여 운영하고 있습니다. 이런 상태에서 국가인권위원회 산하에 개인정보 보호기구를 설치하겠다는 것은 개인정보 감독기구를 허수아비로 만들고 자신들의 권한과 기구를 온존시키겠다는 의도가 아닌가 우려하지 않을 수 없습니다.
5) 개인정보 보호를 실효성있게 할 수 있도록 충분한 권한 및 행정적 지원이 보장되어야 합니다.
개인정보 감독기구는 ▶ 침해의 조사 및 구제 ▶ 개인정보 보호 현황에 대한 감독 ▶ 개인정보 보호 관련 법·정책에 대한 연구 및 권고 ▶ 교육 및 홍보 ▶ 국제기구와의 교류, 협력 등 개인정보 보호를 실효성 있게 하기 위한 충분한 권한을 보장받아야 합니다. 또한, 주어진 역할을 제대로 수행할 수 있도록 충분한 행정적·재정적 지원이 확보되어야 합니다. 하지만, 정부·여당의 법안은 국가인권위원회 산하의 개인정보특별위원회의 역할이 무엇인지 제대로 규정되어 있지 않습니다. 또한, 국가인권위원회에서 이러한 역할을 충분히 수행할 수 있도록 자원을 투입할 수 있는지도 의문입니다.
6) 개인정보 감독기구를 국가인권기구와 별개로 설치·운영하는 것은 세계적인 추세입니다.
미국, 캐나다, 영국, 독일, 프랑스 등 유럽을 비롯한 대부분의 주요 국가에서는 개인정보 감독기구를 국가인권기구와 별개로 설치·운영하고 있습니다. 호주의 경우 처음에는 국가인권기구 하에 있다가 2000년부터 독립된 기관으로 분리되었습니다. 이는 개인정보 보호문제가 국가인권기구가 담당하는 차별 문제와는 문제의 성격과 접근방식이 다르기 때문입니다. 예를 들어, 개인정보의 보호를 위해서는 피해의 사후적 구제뿐만 아니라, 사전적인 감독과 예방이 중요한데, 현재 국가인권위원회는 이러한 기능을 수행하고 있지 않습니다. 또한, 개인정보 보호에 관해 체계적이고 종합적인 대책을 수립하기에는 전문성 역시 부족합니다. 현행 국가인권위원회 위원들이 개인정보 보호에 관한 전문적인 식견을 가지고 있다고 기대하기 힘듭니다.
정부·여당의 법안을 준비했던 정부혁신지방분권위원회가 각 정부부처의 이해 조정에만 급급한 나머지 자신들이 마련한 초안에서 상당히 후퇴한 법안을 제출한 것은 정부 부처의 밥그릇 싸움에 국민들의 정보인권이 희생된 것이나 다름없습니다.
다행히 지난 4월 11일 전원위원회 회의에서 국가인권위원회는 ‘개인정보보호기구 별도 설치’로 의견을 내기로 결정했습니다. 시행 주체가 될 국가인권위원회 자체가 스스로가 개인정보보호기구로 적절하지 않다고 판단한 상황에서, 국회가 국가인권위원회가 맡도록 밀어붙인다면 사리에 맞지 않는 일이 될 것입니다.
2. 개인정보 보호 및 침해 구제를 위한 실효성있는 조치들이 마련되어야 합니다. 또한, 민간차원에서도 개인정보 보호원칙이 지켜져야 합니다.
1) 집단적 권리구제 방식이 도입되어야 합니다.
개인정보 사건은 한 사람 한 사람의 피해는 작은 반면 한 번에 수십만, 수백만 명에게 피해를 주는 특성을 가지고 있습니다. 따라서 일반적인 손해배상 소송은 정보를 유출한 사람에게는 거의 부담이 되지 않는 반면, 정작 피해자에게는 과도한 부담을 지우게 됩니다. 결국 시민사회단체들의 이슈 제기 수단으로 사용하는 경우 이외에, 일반 시민들이 개인정보와 관련된 소송을 제기한 적은 거의 없습니다.
2) 주민등록번호와 같은 개인 식별자의 수집은 엄격히 규제되어야 합니다.
최근 한국인터넷기업협회 등 기업단체들이 개인정보보호기본법 상의 개인식별자 수집 규제 조항에 대해 반대입장을 표명하였습니다. 우리는 기업들이 효율성을 위해 개인정보 보호원칙을 무시하고자 하는 것은 아닌지 우려하지 않을 수 없습니다.
우리 사회에서 개인정보 침해가 만연하게 된 가장 근본적인 원인은 주민등록번호에 있습니다. 전국민을 대상으로 평생 불변의 고유번호를 부여하는 것만으로도 모자라 공공과 민간을 가리지 않고 마구 수집하도록 방치하고 있는 우리의 상황은 세계적으로도 유례가 없는 상황입니다. 그런 특성 때문에 주민등록번호는 명의 도용을 통한 각종 인터넷 범죄가 날로 증가하게 만드는 근본적인 원인이 될 뿐 아니라, 도용당한 사람들의 효과적인 권리 구제조차 불가능하게 만들고 있습니다. 민간 영역에서의 주민등록번호 수집을 규제하는 것은 주민등록번호의 이 같은 폐해에 대한 최소한의 대책일 뿐입니다. 주민등록번호의 문제는 단지 수집 규제에 그치는 것이 아니라, 번호 자체에 개인정보를 노출하고 있는 주민등록번호 체계의 개편, 중앙 정부가 모든 국민에게 강제적으로 단일한 번호를 부여하는 사실상 현행 국민등록 제도의 개편까지 이루어져야 해결될 수 있습니다.
주민등록번호가 없는 해외에서도 아무런 문제없이 인터넷 기업들을 운영하고 있으며, 우리 기업들 중에도 다음, EBS 등 주민등록번호를 수집하지 않는 기업이 조금씩 늘어나고 있습니다. 반드시 신원확인이 필요한 업종들은 이미 공인인증서나 별도의 자체 인증방법을 활용하고 있습니다. 결국 주민등록번호 수집 규제 조항에 대한 기업단체들의 반대는, 신뢰할만한 신원확인 방식을 개발하기 위한 노력을 회피하기 위해 소비자들을 개인정보 침해의 위험에 노출시킨 것에 다름 아닙니다. 따라서, 개인정보보호기본법에 개인 식별자의 수집 금지 조항이 포함되는 것은 개인정보 보호를 위한 최소한의 조치입니다.
3) 개인정보영향평가는 감독기구에 의해 수행되어야 하며, 민간 영역도 평가의 대상으로 포함되어야 합니다.
환경영향평가 등 기존의 영향평가 제도를 볼 때, 사업 시행 주체가 영향평가를 실시하는 것은 영향평가의 공정성 및 실효성을 담보하지 못한다는 비판을 받아왔습니다. 사업시행 주체와 이해당사자들의 참여를 최대한 보장하되, 객관적인 영향 평가를 위해서는 개인정보 감독기구 혹은 감독기구의 위임을 받은 기구에서 실시하도록 해야 합니다.
또한, 개인정보 사전영향평가는 공공영역뿐만 아니라, 민간영역도 그 대상으로 포함해야 합니다. 비록 민간 영역이라 하더라도 극히 대량의 개인정보를 수집하거나 위치정보나 금융정보와 같은 민감한 개인정보를 수집하는 사업자들의 경우, 오히려 공공기관보다도 더욱 엄격한 개인정보 보호 조치가 필요한 상황입니다. 게다가 이동통신이나 초고속인터넷 시장에서 확인할 수 있듯이, IT 산업의 경우 몇몇 기업에 의해 시장이 독과점 되는 양상이 많이 나타납니다. 따라서, 이들 기업을 단순히 민간 기업으로만 간주하기는 어려우며, 공공기관 수준의 규제를 받는 것이 타당합니다.
3. 개인정보보호기본법이 조속하게 제정되어야 하며, 정보인권 보호에 대한 국회의 의지를 촉구합니다.
우리 시민사회단체들은 이미 지난 2002년부터 ‘프라이버시법제정을위한연석회의’를 구성하고, 개인정보보호기본법 제정을 촉구해왔습니다. 이미 지난해에 ‘정부혁신지방분권위원회’의 개인정보보호기본법안이 만들어졌으며, 노회찬 의원안도 지난해 말에 발의되었습니다. 그러나, 국회에서는 아직 개인정보보호기본법에 대한 본격적인 논의도 하지 않은 상황입니다. 우리는 개인정보보호기본법 제정이 기약없이 지연되는 것을 우려하며, 개인정보 침해가 날로 심각해지고 있는 현실을 고려하여 국회에서 조속히 논의·제정하기를 촉구합니다.
물론 우리는 개인정보보호기본법이 졸속적으로 처리되는 것을 원하지 않습니다. 개인정보보호기본법과 개인정보 감독기구는 개인정보를 실효성있게 보호할 수 있는 체계를 갖추어야 합니다. 특히, 개인정보 감독기구의 경우 한번 설립되면 향후에 근본적인 틀을 바꾸기가 힘들다는 점에서 충분한 논의 후에 제대로 설립하는 것이 중요할 것입니다.
지금까지 국내 정보화 과정은 개인정보 보호에 대한 충분한 법·제도적 장치없이 개인정보를 침해할 수 있는 기술과 제도를 도입하는데 급급한 것이 사실이었습니다. 프라이버시 보호를 위한 OECD 가이드라인이 1980년에 발표된 반면, 우리는 20여년이나 지난 지금에서야 국제적인 원칙을 수용하게 된 것입니다. 개인정보보호기본법의 제정과 개인정보 감독기구의 설치는 이와 같이 심각한 위협을 받고 있는 개인정보 보호 문제를 원칙에 맞게 재정비하는데 중점을 두어야할 것입니다.
국회에서는 정부 부처나 기업 단체들의 이기적 요구에 흔들리지 말고, 정보인권 보호의 원칙에 기반하여 단호히 개인정보보호기본법 제정을 추진할 것을 촉구하는 바입니다.
2005년 4월 12일
프라이버시법제정을위한연석회의
(문화연대, 민주사회를위한변호사모임, 지문날인반대연대, 진보네트워크센터, 참여연대, 한국노동네트워크협의회, 함께하는시민행동)
2005-04-11
